Privacy Policy / Datenschutz

Covers the data this app actually processes. This is an implementation-oriented notice, not legal advice; have it reviewed before going live.

English

1. Controller

Torsten Silovsky, Stollberger Straße 64, 09119 Chemnitz, Germany · mail@myowngalaxy.com (see the Imprint).

2. What we store

Username – to identify your account.
Password – stored only as a salted bcrypt hash, never in clear text.
Email address – optional, only if you provide it, used solely for password resets and replies to contact-form messages.
Contact-form messages – your name, email address, optional subject, message and the delivery/audit log needed to process your enquiry.
Saved games – the simulation data you choose to save.
Token balance & history and purchase/payment records.
IP address – stored temporarily for rate limiting on failed logins, password-reset requests and contact-form submissions, to protect against abuse. Entries expire automatically.
Session cookie (PHPSESSID) – a strictly necessary HTTP cookie that stores only a random session identifier and keeps you signed in. It is deleted when you close your browser. Logging out immediately ends your signed-in session (a fresh, anonymous session cookie may remain until you close the browser). No tracking or advertising cookies are used.

3. Purpose & legal basis (GDPR)

Processing is based on Art. 6(1)(b) GDPR (performance of the service you request), Art. 6(1)(f) GDPR (legitimate interest in securing the service against abuse and responding to enquiries) and, where you voluntarily provide optional contact details, Art. 6(1)(a) GDPR (consent).

4. Data security (Art. 32 GDPR)

We apply technical measures in line with the current state of the art to protect your data:

Transport encryption – all traffic is served over HTTPS/TLS; the connection is forced to HTTPS and hardened with HSTS, so data is encrypted in transit.
Passwords – stored only as a salted bcrypt hash; the plain-text password is never stored or logged.
Account email address – when the production encryption key (GRAVITY_KEY) is configured, the email you store in your profile is encrypted at rest with AES-256-GCM (authenticated encryption); the key is kept outside the database. Contact-form submissions and password-reset audit entries are written to server-side log files that are not publicly accessible.
Session cookie – flagged HttpOnly, Secure (over HTTPS) and SameSite=Lax; all API endpoints and the contact form require a CSRF token on every state-changing request.
Abuse protection – rate limiting on logins, password resets and the contact form. Password-reset tokens are stored only as a SHA-256 hash, are single-use and expire after 60 minutes.

5. Third parties

The application is self-contained: 3D libraries are served from this same server, so your IP address is not shared with a third-party CDN. We do not use analytics or trackers. Payments are processed via Stripe. When you buy tokens, the payment details required for checkout, payment processing, fraud prevention and legally required payment records are processed by Stripe; card details are collected by Stripe and are not stored on our server. Stripe may process this data according to its own privacy policy: stripe.com/privacy.

6. Retention

Account data is kept until you delete your account. Contact-form and mail logs are kept only as long as needed to handle and document the enquiry. Rate-limit records expire within hours. You can delete your account and all associated account data at any time via Settings → Delete account.

7. Your rights

You have the right to access, rectify, erase and port your data (Art. 15–20 GDPR), to object to processing (Art. 21 GDPR), and to lodge a complaint with a supervisory authority (Art. 77 GDPR). The supervisory authority responsible for our location is:

Sächsische Datenschutz- und Transparenzbeauftragte
Maternistraße 17, 01067 Dresden
www.datenschutz.sachsen.de

To exercise your rights directly with us, contact mail@myowngalaxy.com.

Deutsch

1. Verantwortlicher

Torsten Silovsky, Stollberger Straße 64, 09119 Chemnitz, Deutschland · mail@myowngalaxy.com (siehe Impressum).

2. Welche Daten wir speichern

Benutzername – zur Identifikation deines Kontos.
Passwort – nur als gesalzener bcrypt-Hash, niemals im Klartext.
E-Mail-Adresse – optional, nur wenn angegeben, ausschließlich für Passwort-Resets und Antworten auf Kontaktformular-Nachrichten.
Kontaktformular-Nachrichten – dein Name, deine E-Mail-Adresse, optionaler Betreff, Nachricht sowie der für Bearbeitung und Nachweis erforderliche Versand-/Protokolleintrag.
Spielstände – die von dir gespeicherten Simulationsdaten.
Token-Guthaben & -Verlauf sowie Kauf- und Zahlungsdatensätze.
IP-Adresse – temporär für Rate-Limiting bei Fehl-Logins, Passwort-Reset-Anfragen und Kontaktformular-Einsendungen, zum Schutz vor Missbrauch. Einträge verfallen automatisch.
Session-Cookie (PHPSESSID) – technisch notwendiges HTTP-Cookie, das nur eine zufällige Sitzungskennung speichert und dich angemeldet hält. Es wird beim Schließen des Browsers gelöscht. Beim Abmelden endet deine angemeldete Sitzung sofort (ein neues, anonymes Session-Cookie kann bis zum Schließen des Browsers bestehen bleiben). Es werden keine Tracking- oder Werbe-Cookies verwendet.

3. Zweck & Rechtsgrundlage (DSGVO)

Die Verarbeitung stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Erbringung des von dir angeforderten Dienstes), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Absicherung gegen Missbrauch und an der Beantwortung von Anfragen) sowie, soweit du optionale Kontaktdaten freiwillig angibst, Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

4. Datensicherheit (Art. 32 DSGVO)

Wir setzen dem aktuellen Stand der Technik entsprechende Maßnahmen ein, um deine Daten zu schützen:

Transportverschlüsselung – der gesamte Datenverkehr läuft über HTTPS/TLS; die Verbindung wird auf HTTPS erzwungen und mit HSTS gehärtet, die Übertragung ist also verschlüsselt.
Passwörter – nur als gesalzener bcrypt-Hash gespeichert; das Klartext-Passwort wird niemals gespeichert oder protokolliert.
Konto-E-Mail-Adresse – wenn der Produktions-Schlüssel (GRAVITY_KEY) konfiguriert ist, wird die in deinem Profil hinterlegte E-Mail at-rest mit AES-256-GCM verschlüsselt (authentifizierte Verschlüsselung); der Schlüssel liegt außerhalb der Datenbank. Kontaktformular-Einsendungen und Passwort-Reset-Protokolleinträge werden in serverseitigen Logdateien gespeichert, die öffentlich nicht erreichbar sind.
Session-Cookie – markiert mit HttpOnly, Secure (über HTTPS) und SameSite=Lax; alle API-Endpunkte und das Kontaktformular erfordern bei zustandsändernden Anfragen zusätzlich ein CSRF-Token.
Missbrauchsschutz – Rate-Limiting bei Login, Passwort-Reset und Kontaktformular. Passwort-Reset-Tokens werden nur als SHA-256-Hash gespeichert, sind einmalig nutzbar und verfallen nach 60 Minuten.

5. Dritte

Die Anwendung ist eigenständig: 3D-Bibliotheken werden vom selben Server ausgeliefert, deine IP-Adresse wird also nicht an ein Drittanbieter-CDN weitergegeben. Es kommen keine Analyse- oder Tracking-Dienste zum Einsatz. Zahlungen werden über Stripe abgewickelt. Wenn du Tokens kaufst, verarbeitet Stripe die für Checkout, Zahlungsabwicklung, Betrugsprävention und gesetzlich erforderliche Zahlungsnachweise benötigten Zahlungsdaten; Kartendaten werden von Stripe erhoben und nicht auf unserem Server gespeichert. Stripe kann diese Daten nach seiner eigenen Datenschutzerklärung verarbeiten: stripe.com/privacy.

6. Speicherdauer

Kontodaten werden bis zur Löschung deines Kontos gespeichert. Kontaktformular- und Mail-Logs werden nur so lange aufbewahrt, wie es für Bearbeitung und Nachweis der Anfrage erforderlich ist. Rate-Limit-Einträge verfallen innerhalb von Stunden. Du kannst dein Konto und alle zugehörigen Kontodaten jederzeit über Einstellungen → Konto löschen entfernen.

7. Deine Rechte

Du hast das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit (Art. 15–20 DSGVO), auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) sowie auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Die für unseren Standort zuständige Behörde ist:

Sächsische Datenschutz- und Transparenzbeauftragte
Maternistraße 17, 01067 Dresden
www.datenschutz.sachsen.de

Zur direkten Ausübung deiner Rechte wende dich an mail@myowngalaxy.com.